管理者への権限プロファイルの割り当て
権限プロファイル
ドメインと管理者に割り当てられたSmartConsoleのアクセス許可の定義済みグループです。この機能を使用すると、1つの定義で多くの管理者に複雑なアクセス許可を設定できます。とは、管理者に割り当てることのできる、Security Management Server 単一の管理ドメイン内でCheck Point環境のオブジェクトとポリシーを管理するために、Check Pointソフトウェアを実行するCheck Point専用サーバ(同義語:Single-Domain Security Management Server)。およびSmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。の管理者権限の定義済みセットです。権限プロファイルは、複数の管理者に割り当てることができます。権限プロファイルを作成および管理できるのは、プロファイルに管理者を管理権限を持つSecurity Management Server管理者のみです。
マルチドメインセキュリティ管理管理者用の権限プロファイルについての詳細:R82 Multi-Domain Security Management Administration Guide。
権限プロファイルの変更と作成
スーパーユーザ権限を持つ管理者は、権限プロファイルの編集、作成、削除を行うことができます。
これらは、定義済みのデフォルト権限プロファイルです。デフォルトの権限プロファイルを変更または削除することはできません。複製して、その複製したクローンを変更することができます。
-
Read Only All - 完全な読み取り権限。書き込み権限はなし。
-
Read Write All - 完全な読み取り/書き込み権限。
-
スーパーユーザ - 管理者とセッションの管理を含む、完全な読み取りと書き込みの権限。
|
|
注 - 複数の管理者が同時に、Read-Write All権限で SmartConsole にログインできます。Read Only AllとRead-Write Allの権限プロファイルを切り替えることはできません。モードを切り替えるには、セッションを終了し、SmartConsoleに再接続して、SmartConsoleのログイン画面で、必要に応じてRead Onlyのチェックボックスをオンまたはオフにします。 |
管理者の権限プロファイルを変更するには
-
Manage & Settings >Permissions & Administrators をクリックします。
-
管理者アカウントをダブルクリックします。
Administratorsプロパティウィンドウが表示されます。
-
Permissionsセクションで、リストから別のPermission Profileを選択します。
-
OKをクリックします。
権限プロファイルを変更するには
-
SmartConsoleで、Manage & Settings > Permissions & Administrators > Permission Profiles と進みます。
-
変更するプロファイルをダブルクリックします。
-
開いたProfileの設定ウィンドウで、必要に応じて設定を変更します。
-
クリックClose。
新しい権限プロファイルを作成するには
-
SmartConsoleで、Manage & Settings > Permissions & Administrators > Permission Profiles と進みます。
-
New Profileをクリックします。
New Profileウィンドウが開きます。
-
プロファイルの一意な名前を入力します。
-
プロファイルの種類を選択します。
-
Read/Write All- 管理者はすべての機能に変更を加えることができます
-
Auditor (Read Only All)- 管理者はすべての情報を確認できますが変更はできません
-
Customized- カスタム設定 (カスタマイズされた権限の設定)。
-
-
クリックOK。
権限プロファイルを削除するには
-
SmartConsoleで、Manage & Settings > Permissions & Administrators > Permission Profilesと進みます。
-
プロファイルを選択して、Deleteをクリックします。
管理者に割り当てられたプロファイルは、削除できません。どの管理者がプロファイルを使用しているかを確認するには、エラーメッセージの中でWhere Usedをクリックします。
管理者にプロファイルが割り当てられていない場合は、確認画面が表示されます。
-
Yesをクリックして確定します。
カスタマイズされた権限の設定
Gateways、Access Control、Threat Prevention、Others、Monitoring and Logging、Events and Reports、Managementの管理者権限を設定します。各リソースについて、このプロファイルで構成される管理者が機能を設定できるか、または表示されるだけかを定義します。
権限:
-
Selected- 管理者にこの機能があります。
-
Not selected- 管理者にこの機能はありません。
注 - 機能選択をクリアできない場合、その機能への管理者アクセスは必須です。
一部の機能には、ReadとWriteのオプションがあります。機能が選択されている場合:
-
Read- 管理者はこの機能はあるが変更はできません。
-
Write- 管理者はこの機能があり変更できます。
カスタマイズされたアクセス許可を設定するには
-
ProfileオブジェクトのOverview > Permissionsセクションで、Customizedを選択します。
-
Profileオブジェクトのこれらのページで権限を設定します。
-
GatewaysProvisioning、Scripts権限を設定します。
-
Access Control- アクセスコントロールポリシーの権限を設定します。アクセスコントロールと脅威対策のためのアクセス許可の設定)。
-
Threat Prevention- 脅威対策ポリシーのアクセス許可を設定します。アクセスコントロールと脅威対策のためのアクセス許可の設定)。
-
Others-Common Objects 、ユーザデータベース
スマートコンソールで定義および管理されるすべてのユーザを含むCheck Point内部データベース。、HTTPS Inspection 機能、Client Certificates に対する権限を設定します。 -
Monitoring and Logging- ログの生成と表示、およびモニタリング機能の使用許可を設定 (モニタ、ログ、イベント、レポートの権限の設定)。
-
Events and Reports- SmartEvent 機能の権限を設定 (モニタ、ログ、イベント、レポートの権限の設定)。
-
-
Managementセクションで、このプロファイルに次の権限を設定します。
-
Manage Administrators- その他の管理者アカウントの管理
-
Manage Sessions- 他の管理者セッションを切断、破棄、公開、または引き継ぐことができます。
-
High Availability Operations- ハイアベイラビリティの設定と作業。
-
Management API Login- Security Management Serverにログインし、これらのツールを使用してAPIコマンドを実行する権限:
-
mgmt_cli(LinuxとWindowsのバイナリ) -
Gaia CLI (clish)
-
Webサービス(REST)
管理者が管理サーバ
Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。上で自動スクリプトを実行できないようにする場合に便利です。
注 - SmartConsoleのAPIターミナルからコマンドを実行する場合、この権限は必要ありません。
-
-
Cloud Management Extension (CME) API- クラウド管理拡張 (CME) 構成の読み取りまたは編集の許可。
-
Publish sessions without an approval- 承認なしに出版することを許可する。
-
Approve / reject other sessions- 他のセッションを承認または拒否する権限を持つ。
-
Manage integration with Infinity Services- SmartConsoleのInfinity ServicesビューからInfinity Portalへの接続許可。
-
-
クリックOK。
|
|
重要- 権限プロファイルにおいて、VSX Provisioning ([Gateway]タブ内)を選択した場合、Publish sessions without an approval ([Management ]タブ内)も選択する必要があります。これは、管理サーバがVSX |
アクセスコントロールレイヤーの権限の設定
異なるレイヤーの所有権を異なる管理者に委任することで、アクセスコントロールポリシーの管理を簡素化することができます。
これを行うには、レイヤーに権限プロファイルを割り当てます。権限プロファイルには次の権限が必要です: Edit Layer by the selected profiles in a layer editor。
この権限を備えた権限プロファイルを持つ管理者は、レイヤーを管理することができます。
ワークフロー
-
管理者プロファイルにレイヤー権限を付与します。
-
レイヤーに権限プロファイルを割り当てます。
管理者プロファイルにレイヤー権限を付与するには
-
ProfileオブジェクトのAccess Control > Policyセクションで、Edit Layer by the selected profiles in a layer editorを選択します。
-
クリックOK。
権限プロファイルをレイヤーに割り当てるには
-
SmartConsole で、Menu > Manage policies and layersをクリックします。
-
左側のペインでLayersをクリックします。
-
レイヤーを選択します。
-
クリックEdit。
-
左側のペインでPermissionsを選択します。
-
クリック+
-
レイヤー権限のあるプロファイルを選択します。
-
クリックOK。
-
クリックClose。
-
SmartConsoleセッションを公開する。
アクセスコントロールと脅威対策のためのアクセス許可の設定
権限プロファイルオブジェクトで、機能を選択し、その機能に対する読み取りまたは書き込みの管理者権限を選択します。
-
Access Control
レイヤーを編集するには、レイヤー内のすべてのSoftware Blade
特定のセキュリティソリューション(モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査する (2) 管理サーバでは、各Software Bladeが異なる管理機能を有効にする。の権限が必要です。Actionsセクションで:
-
Install Policy- セキュリティゲートウェイ
Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。にアクセスコントロールポリシーをインストールします。 -
Application & URL Filtering Update- アクセスルール
通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。に使用するアプリケーションやWebサイトの新しいパッケージをダウンロードし、インストールします。
-
-
Threat Prevention
Actionsセクションで:
-
Install Policy- セキュリティゲートウェイに脅威対策ポリシーをインストールします。
-
IPS Update-IPS
さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade(侵入防止システム)。保護用の新しいパッケージをダウンロードし、インストールします。
-
モニタ、ログ、イベント、レポートの権限の設定
Profileオブジェクトで、機能とその管理者権限である読み取り/書き込みを選択します。
-
モニタリングとログ機能
これらは利用可能な機能の一部です:
-
Monitoring
-
Management Logs
-
Track Logs
-
Application and URL Filtering Logs
-
-
イベントとレポート機能
SmartEventに関する権限です。
-
SmartEvent
-
Events- SmartConsoleのビューLogs & Events
-
Policy- SmartEvent GUIのSmartEvent Policy and Settings。
-
Reports- SmartConsole >Logs & Events
-
-
SmartEvent Application & URL Filtering reports only
-